近幾個(gè)月來(lái)，知名意見(jiàn)領(lǐng)袖成為了社交工程攻擊的主要目標(biāo)，項(xiàng)目官方 Twitter 也頻繁發(fā)生賬號(hào)被盜事件。

撰文：Luccy、律動(dòng)小工，BlockBeats

在幣圈，作為主要社交媒體的推特是信息交流的重要平臺(tái)，但同時(shí)也暴露了諸多安全隱患。近幾個(gè)月來(lái)，一種新的被盜趨勢(shì)浮現(xiàn)出水面：知名意見(jiàn)領(lǐng)袖 (KOL) 成為了社交工程攻擊的主要目標(biāo)，項(xiàng)目官方的社交媒體平臺(tái) X（原 twitter）頻繁發(fā)生賬號(hào)被盜事件。

這些精心策劃的攻擊不僅侵犯了個(gè)人隱私，更威脅到了整個(gè)數(shù)字資產(chǎn)的安全。BlockBeats 將探討近期發(fā)生的幾起針對(duì)知名 KOL 的社交工程攻擊案例，揭示攻擊者如何利用精心設(shè)計(jì)的詐騙手段，以及 KOL 和普通用戶(hù)如何提高警惕，防范這類(lèi)日益猖獗的網(wǎng)絡(luò)威脅。

偽裝的假記者，針對(duì) KOL 的社工攻擊

據(jù) BlockBeats 不完全統(tǒng)計(jì)，最初遭遇社工攻擊的人是美國(guó)主流媒體《福布斯》主編。冒牌者與加密 Kol@0xmasiwei 就 friend.tech 及其他仿盤(pán) SocialFi 項(xiàng)目進(jìn)行交流后，對(duì)其發(fā)送 friend.tech「身份驗(yàn)證」鏈接。經(jīng)慢霧安全人員驗(yàn)證，該鏈接為釣魚(yú)鏈接。

此外，慢霧創(chuàng)始人余弦確定 friend.tech 的一體化自定義工具 FrenTechPro 為釣魚(yú)騙局，用戶(hù)在點(diǎn)擊 ACTIVATE NOW 后會(huì)有黑客不斷嘗試盜取錢(qián)包相關(guān)資產(chǎn)。

兩個(gè)月后，派盾 PeckShieldAlert 再次監(jiān)測(cè)到類(lèi)似事件。

12 月 18 日，加密數(shù)據(jù)研究員、DeFiLlama 貢獻(xiàn)者 Kofi（@0xKofi）在社交媒體平臺(tái)發(fā)文稱(chēng) DefiLama 的合約和 dApp 存在漏洞影響，要求用戶(hù)點(diǎn)擊推文中附帶的鏈接驗(yàn)證資產(chǎn)安全。這是社工攻擊一次典型例子，詐騙團(tuán)伙利用了用戶(hù)對(duì)漏洞的恐懼心理，讓他們降低對(duì)詐騙鏈接的防范。

昨日凌晨 2 點(diǎn)，@0xcryptowizard 遭遇社工攻擊再次引發(fā)加密圈的討論。@0xcryptowizard 在社交媒體平臺(tái)用著「機(jī)翻」中文為 Arbitrum 銘文宣傳，并附上了 mint 鏈接。據(jù)社區(qū)成員反應(yīng)，剛點(diǎn)入鏈接錢(qián)包瞬間就被清空。

對(duì)此，@0xcryptowizard 發(fā)文表示，騙子正是抓住了自己休息時(shí)間才趁機(jī)發(fā)布釣魚(yú)鏈接。隨后，@0xcryptowizard 在推特簡(jiǎn)介中附上提醒，「未來(lái)不會(huì)發(fā)任何鏈接；推文中出現(xiàn)鏈接，請(qǐng)不要點(diǎn)。」

至于被盜原因，@0xcryptowizard 表示這是一次精心策劃的網(wǎng)絡(luò)詐騙。攻擊者 @xinchen_eth 偽裝成知名加密貨幣媒體 Cointelegraph 的記者，并以預(yù)約采訪(fǎng)為由接觸目標(biāo)。攻擊者誘使點(diǎn)擊一個(gè)看似正常的預(yù)約鏈接，該鏈接偽裝成了 Calendly（一個(gè)常用的日程安排工具）的預(yù)約頁(yè)面。然而，這實(shí)際上是一個(gè)偽裝的頁(yè)面，其真實(shí)目的是完成對(duì) @xinchen_eth 推特賬戶(hù)的授權(quán)，從而獲取其推特權(quán)限。

在這個(gè)過(guò)程中，即便對(duì)鏈接有所懷疑，頁(yè)面的設(shè)計(jì)和呈現(xiàn)方式仍然讓他誤以為是一個(gè)正常的 Calendly 預(yù)約界面。事實(shí)上，頁(yè)面并沒(méi)有顯示出任何 Twitter 授權(quán)的界面，只展示了預(yù)約時(shí)間的界面，這使得他陷入了誤區(qū)?；叵肫饋?lái)，@0xcryptowizard 認(rèn)為黑客可能對(duì)頁(yè)面進(jìn)行了巧妙的偽裝。

最后，@0xcryptowizard 提醒其他知名意見(jiàn)領(lǐng)袖（KOL）要格外小心，不要輕易點(diǎn)擊不明鏈接，即使它們看起來(lái)像是正常的服務(wù)頁(yè)面。這種詐騙手段的高度隱蔽性和欺騙性是一個(gè)嚴(yán)重的安全隱患。

在 @0xcryptowizard 后，NextDAO 聯(lián)合發(fā)起人 @_0xSea_也經(jīng)歷了社工攻擊，一個(gè)自稱(chēng)來(lái)自知名加密媒體公司 Decrypt 的騙子私信約其進(jìn)行采訪(fǎng)，旨在面向華語(yǔ)用戶(hù)傳播一些理念。

但有前車(chē)之鑒，@_0xSea_細(xì)心的注意到對(duì)方發(fā)送的 Calendly .com 授權(quán)的頁(yè)面中，「授權(quán) Calendl? 訪(fǎng)問(wèn)你的賬號(hào)」這句話(huà)里的字符是「?」，不是字母「y」，這與上次假 sats 的情況類(lèi)似，末尾字符其實(shí)是「?」而不是「ts」。由此判斷這是一個(gè)冒充的假賬號(hào)。

訓(xùn)練有素的加密黑客團(tuán)伙 Pink Drainer

在 @0xcryptowizard 遭遇攻擊事件中，慢霧余弦指出詐騙團(tuán)伙 Pink Drainer。據(jù)悉，Pink Drainer 是一款?lèi)阂廛浖捶?wù)（Malware-as-a-Service，MaaS），能夠讓用戶(hù)快速建立惡意網(wǎng)站，通過(guò)該惡意軟件獲取非法資產(chǎn)。

據(jù)區(qū)塊鏈安全公司 Beosin 指出，該釣魚(yú)網(wǎng)址使用一種加密錢(qián)包竊取工具，誘使用戶(hù)簽署請(qǐng)求。一旦請(qǐng)求被簽署，攻擊者將能夠從受害者的錢(qián)包中轉(zhuǎn)移 NFT 和 ERC-20 代幣?！窹ink Drainer」會(huì)向用戶(hù)收取被盜資產(chǎn)作為費(fèi)用，據(jù)報(bào)道可能高達(dá)被盜資產(chǎn)的 30%。

Pink Drainer 團(tuán)隊(duì)因在 Twitter 和 Discord 等平臺(tái)上的高調(diào)攻擊而臭名昭著，涉及 Evomos、Pika Protocol 和 Orbiter Finance 等事件。

去年 6 月 2 日，駭客利用 Pink Drainer 侵入 OpenAI 技術(shù)長(zhǎng) Mira Murati 的推特發(fā)布假消息，聲稱(chēng) OpenAI 即將推出「OPENAI 代幣」，基于 AI 語(yǔ)言模型推動(dòng)，并貼上鏈接告知網(wǎng)友前去查看自己的以太坊錢(qián)包地址是否有領(lǐng)取空投資格。為防止其他人在留言區(qū)揭穿騙局，駭客還特別關(guān)閉了留言公開(kāi)回復(fù)功能。

盡管這則假消息在發(fā)布一個(gè)小時(shí)后被刪除，但已經(jīng)觸及超過(guò) 80,000 名推特用戶(hù)。Scam Sniffer 對(duì)此展示的數(shù)據(jù)表示，駭客在這起事件中獲得了約 11 萬(wàn)美元的非法收入。

去年年底，Pink Drainer 參與一起高度精密的網(wǎng)絡(luò)釣魚(yú)詐騙，導(dǎo)致價(jià)值 440 萬(wàn)美元的 Chainlink（LINK）代幣被盜。這起網(wǎng)絡(luò)盜竊針對(duì)的是一個(gè)單獨(dú)的受害者，他們被欺騙簽署了與「增加授權(quán)」功能相關(guān)的交易。Pink Drainer 利用了加密領(lǐng)域的標(biāo)準(zhǔn)程序「增加授權(quán)」功能，允許用戶(hù)設(shè)置其他錢(qián)包可轉(zhuǎn)賬代幣數(shù)量的限制。

在受害者不知情的情況下，這一行動(dòng)使得 275,700 個(gè) LINK 代幣在兩筆不同的交易中被未經(jīng)授權(quán)地轉(zhuǎn)移。加密安全平臺(tái) Scam Sniffer 的詳細(xì)信息顯示，最初，68,925 個(gè) LINK 代幣被轉(zhuǎn)移到了一個(gè)被 Etherscan 標(biāo)記為「PinkDrainer：Wallet 2」的錢(qián)包；其余的 206,775 個(gè) LINK 則被發(fā)送到以「E70e」結(jié)尾的另一個(gè)地址。

盡管目前尚不清楚他們是如何誘使受害者授權(quán)代幣轉(zhuǎn)移的。Scam Sniffer 還在被盜事件發(fā)生的過(guò)去 24 小時(shí)內(nèi)發(fā)現(xiàn)了至少 10 個(gè)與 Pink Drainer 有關(guān)的新詐騙網(wǎng)站。

如今，Pink Drainer 的活動(dòng)仍在呈上升趨勢(shì)，據(jù) Dune 數(shù)據(jù)顯示，截至撰稿時(shí)，Pinkdrainer 已累計(jì)詐騙超過(guò) 2500 萬(wàn)美元，總受害者達(dá)上萬(wàn)人。

項(xiàng)目官推頻繁被盜

不僅如此，最近一個(gè)月以來(lái)，項(xiàng)目官推被盜事件頻發(fā)：

12 月 22 日，ARPG 暗黑刷寶類(lèi)鏈游《SERAPH: In the Darkness》官方 X 平臺(tái)賬號(hào)疑似被盜，請(qǐng)用戶(hù)暫時(shí)不要點(diǎn)擊該賬號(hào)發(fā)布的任何鏈接。

12 月 25 日，去中心化金融協(xié)議 Set Protocol 官推疑似被盜，并發(fā)布多條包含釣魚(yú)鏈接的推文。

12 月 30 日，DeFi 借貸平臺(tái) Compound 官推疑似被盜，并發(fā)布包含釣魚(yú)鏈接的推文，但并未開(kāi)放評(píng)論權(quán)限。BlockBeats 提醒用戶(hù)注意資產(chǎn)安全，請(qǐng)勿點(diǎn)擊釣魚(yú)鏈接。

甚至連安全公司也不能幸免。1 月 5 日，CertiK 的推特賬戶(hù)賬戶(hù)已被盜用。發(fā)布虛假消息稱(chēng)發(fā)現(xiàn) Uniswap 路由器合約容易受到重入漏洞的攻擊。附帶 RevokeCash 鏈接為釣魚(yú)鏈接。針對(duì)此次被盜事件，CertiK 在其社交平臺(tái)表示，「一個(gè)知名媒體相關(guān)的經(jīng)過(guò)驗(yàn)證的賬戶(hù)聯(lián)系了 CertiK 的一名員工，然而該帳戶(hù)似乎已被盜用，導(dǎo)致我們的員工遭到網(wǎng)絡(luò)釣魚(yú)攻擊。CertiK 很快發(fā)現(xiàn)了漏洞，并在幾分鐘內(nèi)刪除了相關(guān)推文。調(diào)查表明這是一次大規(guī)模持續(xù)攻擊。據(jù)調(diào)查，此次事件并未造成重大損失?！?/p>

1 月 6 日，據(jù)社群反饋，Solana 生態(tài) NFT 借貸協(xié)議 Sharky 官推已被黑客攻擊并發(fā)布釣魚(yú)鏈接，請(qǐng)用戶(hù)不要點(diǎn)擊該官推發(fā)布的任何鏈接。